Um tribunal federal dos Estados Unidos sentenciou um ex-executivo de cibersegurança à prisão federal após condená-lo por vender uma vulnerabilidade crítica de software para compradores que atuavam em nome do governo russo, disseram promotores. As ações do réu envolveram um exploit zero-day que as autoridades disseram ter sido usado para comprometer sistemas de computador.
O tribunal proferiu a sentença após uma confissão de culpa na qual o executivo admitiu ter trocado o exploit de software até então desconhecido com intermediários que se acredita representarem interesses de inteligência russos. Promotores disseram que o exploit tem como alvo softwares de rede amplamente utilizados e pode permitir que atacantes remotos executem código e assumam o controle dos sistemas afetados sem serem detectados.
Ao sentenciar o réu, o juiz citou as sérias implicações para a segurança nacional de transferir uma poderosa vulnerabilidade cibernética para um adversário estrangeiro. O período de prisão determinado pelo tribunal estava dentro das diretrizes federais de sentença para crimes envolvendo a exportação de malware e ferramentas cibernéticas ilícitas.
O exploit zero-day em questão não havia sido divulgado publicamente no momento da venda, o que significava que desenvolvedores e defensores de software desconheciam sua existência e não podiam corrigir os produtos afetados. Os promotores disseram ao tribunal que o réu entendia o impacto potencial da exploração e participou voluntariamente da venda para representantes ligados a atores estatais russos.
Autoridades federais disseram que a investigação envolveu cooperação entre várias agências de aplicação da lei dos EUA, incluindo o Federal Bureau of Investigation e o Departamento de Justiça. O caso foi movido sob leis dos EUA que proíbem a exportação de armas ou vulnerabilidades cibernéticas para governos estrangeiros designados sem licença.
A equipe jurídica do réu defendeu uma pena menor, citando sua experiência profissional anterior e contribuições para pesquisas defensivas em cibersegurança. O tribunal reconheceu esses fatores, mas determinou que a venda deliberada de um exploit zero-day para agentes de um governo estrangeiro justificava uma sentença de prisão.
Autoridades não divulgaram informações detalhadas sobre como o exploit foi posteriormente usado em operações cibernéticas, mas promotores disseram que transferir a vulnerabilidade para atores hostis dificultou esforços globais mais amplos para defender redes e proteger infraestrutura crítica.